Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Editorial

Schillernde Compliance-Welt

Editorial des Email-Newsletters 01-2010 vom 20.01.2010

20.01.2010

Gerhard Schmidt

Gerhard Schmidt 
Chefredakteur des "Forum Elektronische Steuerprüfung".

 

Da wird eine Sicherheitslücke in Microsofts Internet Explorer bekannt, die sich kurzfristig nicht schließen lässt, und schon muss sich die gesamte Wirtschaft mit einem Compliance-Problem herumschlagen. Bis auf die (wenigen) Unternehmen, die sich sicher sind, dass dieser Browser bei ihnen nicht eingesetzt wird.

Das gab es früher nicht, dass ein kleines technisches Problem bei einem Standardarbeitsmittel gleich zu gravierenden Folgen für eine Unzahl von Unternehmen führte. Womit wurde damals an einem Büroarbeitsplatz gearbeitet? Mit Papier. Und mit Organisationssystemen für Papier: Ablagekörbe, Ordner, Regale. Das war es. Und wenn bei einer Charge Leitz-Ordner der Bügelmechanismus einmal hakte, dann hakte es nicht auch gleich in kritischen Geschäftsprozessen. Die Unternehmen wurden damals geführt, hatten eine Kultur und hielten selbstverständlich Gesetzte und Vorschriften ein. Ohne dass es dazu einer besonderen Begrifflichkeit bedurfte. Der Begriff "Regeltreue" etwa, der heute als deutsche Übersetzung für Compliance vorgeschlagen wird, war damals dem Geschäftsleben fremd.

Heute haben wir hier Begriffe. Nicht weil es so viele neue regulatorische Anforderungen gibt, sondern weil die Erfüllung der Anforderungen heute wesentlich schwieriger ist. Heute bedienen wir uns elektronischer Arbeitsmittel. Wenn es bei denen hakt (siehe Internet Explorer), dann reicht nicht ein müdes Achselzucken wie beim Leitz-Ordner. Steuerlich relevante Daten auf Papier irgendwo abgeheftet revisionssicher aufzubewahren, ist allerhöchstens ein Platzproblem. Eine Verfahrensdokumentation dazu passt auf ein einzelnes Blatt. Heute müssen wir uns hier mit Problemen wie Altsystemabschaltung, Email-Archivierung, Signaturverifikation herumschlagen. Und eine adäquate Verfahrensdokumentation füllt Seite um Seite.

Neue Probleme fordern neue Lösungen. Und zeugen neue Begriffe. Wie eben Compliance. Oder im Dreiklang GRC - Governance, Risk, Compliance. Wenn die Begriffe schon einmal da sind, dann werden sie auch verwendet. Da wird dann alter Wein in neue Schläuche gefüllt und als etwas Neues angepriesen. Das Marketing ist hier sehr erfinderisch. In wenigen Wochen werden wir das auf der CeBIT wieder beobachten können. An jedem zweiten Messestand wird wohl wieder mit Compliance-Lösungen geworben. Doch was steckt wirklich dahinter? Man darf gespannt sein, wann der Begriff Compliance als weiteres Rechtsgebiet auch den Straßenverkehr erobert. "Ich bin heute immer compliant gefahren." klingt doch "cooler" als "Ich habe alle Geschwindigkeitsbegrenzungen eingehalten."

Versuche, Begriffe wie Compliance akademisch zu definieren, werden entweder zu allgemeinen banalen Ergebnissen oder im Detail umstrittenen führen. Wesentlich zielführender für einen akademische Ansatz  ist Bestimmung der Klassen von Problemen, die aus regulatorischen Anforderungen resultieren. Da zeigt sich schnell, dass die Cross-Compliance der Landwirtschaft mit der IT-Compliance inhaltlich nichts zu tun hat.

Bei der Analyse der Problem, die wie das Thema "elektronische Steuerprüfung" unter IT-Compliance diskutiert werden, kristallisiert sich ein gemeinsames zentrales Problem als Spitze einer Klassifikationshierarchie heraus, die IT-Sicherheit. Ohne IT-Sicherheit, lassen sich weder die Anforderungen des Datenschutzes, noch der GDPdU, noch der GoBS, noch von SOX, noch von ...  erfüllen.

Wie schwierig die IT-Sicherheit im Unternehmen sicherzustellen ist,  illustriert - und damit sind wir wieder am Anfang - die aktuelle Sicherheitslücke in Microsofts Internet Explorer,

Hinweise zur Bewältigung Ihrer Compliance-Probleme finden Sie in den meisten Beiträgen dieses Newsletters.

Ihr Gerhard Schmidt

Newsletter
 hier abonnieren